Компании и крупные предприятия
Защитите свою компанию от киберпреступников.
Попробовать бесплатноПринцип наименьших привилегий (PoLP) — это концепция кибербезопасности, в соответствии с которой пользователям предоставляется сетевой доступ (пользовательские привилегии) только к информации и системам, которые им необходимы для выполнения их работы, и не более того.
Принцип наименьших привилегий важен, потому что предоставление вашим сотрудникам ненужных привилегий увеличивает поверхность атаки, а в случае взлома облегчает злоумышленникам перемещение по сети в горизонтальном направлении.
Ниже приведены основные преимущества PoLP:
Ограничение пользовательских привилегий для каждого члена команды сокращает возможные пути, которые злоумышленники могут использовать для взлома систем и данных.
Если набор учетных данных пользователя скомпрометирован, PoLP препятствует возможности злоумышленника использовать их для горизонтального перемещения по сети. Злоумышленник ограничен доступом только к системам и данным, доступным этому пользователю, что снижает возможности злоумышленника для распространения вредоносного ПО, кражи данных или того и другого.
Ограничение доступа с помощью принципа наименьших привилегий также помогает свести к минимуму инсайдерские угрозы, возникающие из-за злонамеренных действий, ошибок или халатности со стороны самих сотрудников компании. Например, разрешение устанавливать приложения только системным администраторам предотвращает преднамеренную или случайную установку вредоносных программ конечными пользователями.
Доступ с наименьшими привилегиями необходим для ограничения доступа пользователей к данным, на которые распространяются отраслевые и нормативные требования, такие как Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Общий регламент защиты персональных данных (GDPR).
Наименьшие привилегии и нулевое доверие — разные, но тесно связанные концепции кибербезопасности. Нулевое доверие представляет собой модель кибербезопасности с тремя основными компонентами, включая PoLP:
Предполагать взлом. Нулевое доверие предполагает, что любой пользователь или устройство может быть скомпрометировано. Вместо того, чтобы безоговорочно доверять всем и каждому в пределах сетевого периметра, нулевое доверие не доверяет безоговорочно никому.
Проверять явно. В то время как в более старых моделях безопасности, таких как «замок и ров», упор делался на то, где находятся конечные пользователи (внутри или за пределами сетевого периметра), концепция нулевого доверия сосредоточена на том, кем они являются. Все люди и машины должны доказать, что они являются теми, за кого себя выдают, прежде чем они смогут получить доступ к сетевым ресурсам.
Обеспечивать доступ с наименьшими привилегиями. После входа в сеть пользователи должны иметь минимальный доступ к сети, необходимый им для выполнения своей работы и обеспечения производительности, и ни на йоту больше.
В итоге: хотя можно добиться доступа с наименьшими привилегиями без нулевого доверия, обратное утверждение неверно.
Ниже приведены некоторые советы по успешному внедрению PoLP в вашей организации.
Управление идентификацией и доступом (IAM) – это общий термин, относящийся к политикам и процессам, обеспечивающим авторизованным пользователям доступ к сетевым ресурсам, которые им необходимы для выполнения их работы. Принцип наименьших привилегий охватывается концепцией IAM. В решениях IAM используются средства автоматизации и центральные информационные панели, помогающие системным администраторам управлять идентификацией пользователей и контролировать доступ к корпоративным ресурсам, особенно к конфиденциальным организационным системам и данным.
Включите многофакторную аутентификацию (MFA) в качестве дополнительного уровня безопасности для предотвращения взломов из-за скомпрометированных учетных данных. MFA требует, чтобы пользователь прошел две или более проверки разного типа, прежде чем ему будет предоставлен доступ к сетевому ресурсу. Например, банкоматы требуют, чтобы клиенты банка вставили свою дебетовую карту, а затем ввели PIN-код.
Это гарантирует, что даже если киберпреступнику удастся заполучить действующий пароль, он не сможет использовать его без дополнительной аутентификации.
Сетевые привилегии следует регулярно пересматривать, чтобы предотвратить «расползание привилегий», то есть получение пользователями более высокого уровня доступа, чем им необходимо. При этом следует обеспечивать, чтобы все пользователи имели доступ, необходимый им для выполнения своей работы.